Alla fine di agosto 2024, gli esperti di Kaspersky hanno identificato una nuova versione del Trojan Necro che si è infiltrato in diverse applicazioni popolari su Google Play e ha modificato alcune app su piattaforme non ufficiali, tra cui Spotify, WhatsApp e Minecraft. Necro è un downloader Android che scarica ed esegue altri componenti dannosi sui dispositivi infetti in base alle istruzioni inviate dai creatori del trojan. Le soluzioni Kaspersky hanno registrato attacchi Necro rivolti principalmente a utenti in Russia, Brasile, Vietnam, Ecuador e Messico, a cui si aggiunge l’Italia che è tra i primi 10 Paesi per numero di attacchi.
Funzionalità
del Trojan Necro
La variante di Necro
scoperta dagli esperti di Kaspersky è in grado di scaricare moduli sugli
smartphone infetti che consentono di visualizzare annunci pubblicitari
all’interno di finestre nascoste e di cliccarci sopra, scaricare file
eseguibili, installare applicazioni di terze parti e aprire link arbitrari in schermate
WebView non visibili per eseguire codice JavaScript. Grazie alle sue
caratteristiche tecniche, il trojan è anche in grado di far abbonare gli utenti
a servizi a pagamento. Inoltre, i moduli scaricati consentono agli aggressori
di reindirizzare il traffico Internet attraverso il dispositivo della vittima,
consentendo ai criminali informatici di accedere a risorse proibite o
desiderate utilizzando il dispositivo della vittima, potenzialmente come parte
di una botnet proxy.
Applicazioni infette
su piattaforme non ufficiali
La prima scoperta di Necro
da parte degli esperti dell’azienda è avvenuta in una versione modificata di
Spotify Plus. I creatori dell’app sostenevano che fosse sicura per i dispositivi
e che offrisse funzioni aggiuntive non presenti nell’app ufficiale di streaming
musicale. Successivamente, gli esperti hanno trovato anche una versione
modificata di WhatsApp contenente il downloader Necro, seguita da versioni
infette di giochi popolari, tra cui Minecraft, Stumble Guys e Car Parking
Multiplayer. Necro è stato incorporato in queste applicazioni tramite un modulo
pubblicitario non verificato.
Applicazioni infette
su Googl Play
La campagna Necro si è
estesa oltre le piattaforme di terze parti ed è stata scoperta anche su Google
Play. Il downloader dannoso è stato trovato nell’app Wuta Camera e in Max
Browser. Secondo le statistiche di Google Play, i download combinati di queste
applicazioni hanno superato gli 11 milioni. Su questa piattaforma, Necro è
stato distribuito anche tramite un messaggio pubblicitario non verificato. In
seguito alla segnalazione di Kaspersky a Google, il codice dannoso è stato
rimosso da Wuta Camera e Max Browser è stato ritirato dallo store. Tuttavia,
gli utenti rischiano ancora di imbattersi in Necro su piattaforme non
ufficiali.
“Spesso gli utenti
scaricano applicazioni non ufficiali e modificate per bypassare le restrizioni
delle app ufficiali o accedere a funzionalità aggiuntive gratuite. I criminali
informatici usano questo metodo, per diffondere malware attraverso queste
applicazioni, poiché non c’è alcuna limitazione sulle piattaforme di terze
parti”, ha
commentato Dmitry Kalinin, Cybersecurity Expert di Kaspersky. “È inoltre importante notare che la
versione di Necro incorporata in queste applicazioni abbia utilizzato tecniche
di steganografia, nascondendo il suo payload all’interno di immagini per passare
inosservato, un metodo insolito per il malware mobile”.
Le soluzioni di sicurezza
Kaspersky proteggono da Necro e rilevano il downloader come
Trojan-Downloader.AndroidOS.Necro.f e Trojan-Downloader.AndroirOS.Necro.h, con
i componenti dannosi identificati come Trojan.AndroidOS.Necro.
Per ulteriori informazioni su Necro
Trojan, è possibile visitare Securelist.com.
Per proteggersi da queste
e altre minacce informatiche per Android, gli esperti Kaspersky consigliano di:
· Scaricare le applicazioni solo da fonti ufficiali
· Aggiornare regolarmente il sistema operativo e le applicazioni installate
· Usare una soluzione di sicurezza affidabile fornita da un produttore riconosciuto, i cui prodotti siano stati sottoposti a verifica da parte di laboratori di test indipendenti, come Kaspersky Premium.